Drupal Core/API のアクセス・バイパスなどの脆弱性が FIX

Access Bypass, Data Overwrite Vulnerabilities Patched in Drupal

2022/04/20 SecurityWeek — 水曜日に Drupal は、アクセス・バイパスとデータ上書きを引き起こす可能性のある、2つの脆弱性を解決するためのセキュリティアップ・デートをリリースした。このオープンソース CMS (Content Management System) の、最新版で修正されたバグの1つ目は、エンティティ修正のための汎用アクセス API の、不適切な実装に起因するアクセス・バイパスの問題である。

Drupal は、「この API は、既存の権限と完全に統合されていなかった。そのため、修正されたコンテンツを使用する一般的なアクセス権は持っているが、ノードやメディア・コンテンツにおける個々のアイテムへのアクセス権を持っていないユーザーが、アクセス・バイパスする可能性がある」と説明している。この脆弱性は Drupal 9.3 だけに影響し、Drupal のリビジョン・システムが使用されているサイトのみに影響する。

2つ目の問題は、Drupal Core の form API で確認されたものだ。特定のコントリビューションまたは、カスタムモジュールのフォームにおける、不適切な入力検証に起因すると説明されている。

このセキュリティ・ホールを悪用する攻撃者に対して、許可されていない値のインジェクションや、データ上書きを許す可能性がある。影響を受けるフォームの確率は低いが、特定のケースでは、この欠陥を悪用する攻撃者に、重要/機密データの変更を許す可能性がある。Drupal は、「Core 自体のフォームが影響を受けることはないが、コントリビューションやカスタム・プロジェクトのフォームが、影響を受ける可能性がある」と述べている。

これらの脆弱性は、いずれも Moderately Critical と評価されており、可能な限り早急なパッチ適用が、ユーザーに推奨されている。一連のバグは、Drupal 9.3.12/9.2.18 のリリースで解決されている。Drupal 9 の 9.2.x 以前のバージョンと Drupal 8 は、EOL (End of Life) ステータスに達しているため、アップデートは行われない予定だ。なお、Drupal 7 は影響を受けない。

このブログで Drupal に関する記事は、初めてのものになります。いつものように、お隣のキュレーション・チームに聞いてみたら、4月23日にレポート済みとのことでした。ついでに、CVE について確認したところ、「いつもの通りで無いですよ」という答えが帰ってきました。なぜ、Drupal は CVE を無視するのかという大いなる疑問は、いまだに解消されていないようです。

%d bloggers like this: